Administrator danych RODO a podmiot przetwarzający – jaka jest ich odpowiedzialność?
Ochrona danych osobowych od 2018 roku stanowi nieodzowny element każdego przedsiębiorstwa. Zatem jako właściciel biura rachunkowego masz obowiązek szczególnej ochrony wszelkich informacji dotyczących swoich klientów będących osobami fizycznymi. Najważniejszym podmiotem w całej tej procedurze jest administrator danych RODO, jednak w przeważającej ilości przypadków ów administratorem jest właśnie przedsiębiorca, co sprawia, że to na nim spoczywa niemal cały ciężar związany z przetwarzaniem danych osobowych. Tym bardziej, że administrator jest odpowiedzialny nie tylko za swoje działanie, ale również za zachowanie innych podmiotów, m.in. tzw. podmiotów przetwarzających.
Administrator danych RODO – kto to?
W przepisie art. 4 pkt 7 RODO wskazuje, iż administratorem danych jest osoba fizyczna, osoba prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie bądź wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Nie jest zatem tak, że to właściciel firmy zawsze będzie pełnił funkcję administratora, ale powiedzmy sobie szczerze, kto prowadząc jednoosobową, małą lub średnią firmę pozwoli sobie na zatrudnienie dodatkowej osoby odpowiedzialnej wyłącznie za przetwarzanie danych. Dlatego też jeśli prowadzisz jednoosobowe lub małe, zatrudniające kilku księgowych, biuro rachunkowe funkcja administratora danych przypada właśnie Tobie.
Administrator danych odpowiada za sprawowanie władztwa nad przetwarzanymi danymi. Nie chodzi jednak o każde posiadanie danych. Musi się ono wiązać z faktyczną kontrolą nad przetwarzaniem danych, czyli decydowaniem o celach i sposobach przetwarzania. Jak wskazuje jednolite stanowisko sądów administracyjnych, administratorem jest ten, kto decyduje o celach i środkach przetwarzania, przy czym zasadnicze znaczenie ma rodzaj i charakter nadanych przez prawo kompetencji z zakresu spraw publicznych.
Aby można było mówić o administratorze danych, musi on być kompetentny do samodzielnego podejmowania decyzji w przedmiocie ustalania celów i sposobów przetwarzania danych. Za cel uznaje się określone wartości, dla urzeczywistnienia których dochodzić będzie do przetwarzania danych osobowych. Z kolei pojęcie sposobów przetwarzania danych oznacza dokonywanie wyboru technicznych sposobów przetwarzania danych. Oznacza to, że jako administrator danych osobowych musisz samodzielnie decydować o tym, dla realizacji jakich celów dochodzić będzie do przetwarzania zgromadzonych przez Twoje biuro rachunkowe danych osobowych oraz w jaki sposób to przetwarzanie będzie następowało.
Obowiązki administratora danych RODO
Do Twoich obowiązków – jako administratora – należy wdrażanie odpowiednich środków technicznych i organizacyjnych, dzięki którym przetwarzanie danych będzie odbywało się zgodnie ze wszystkimi zasadami RODO. Chodzi tu zatem o takie środki, które zagwarantują trwałą i pewną ochronę przetwarzanych w Twoim biurze rachunkowym danych osobowych osób fizycznych. Dane muszą być przetwarzane przy uwzględnieniu charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze.
Ważne! Ochrona RODO dotyczy również danych osobowych Twoich klientów, którzy prowadzą jednoosobową działalność gospodarczą. Więcej o tym przeczytasz w artykule RODO i dane osobowe
W praktyce, jako administrator, masz obowiązek w szczególności zabezpieczyć pozyskane dane osobowe przed ich:
- utratą, udostępnieniem osobom nieupoważnionym lub zabraniem przez osobę nieuprawnioną;
- uszkodzeniem lub zniszczeniem;
- przetwarzaniem z naruszeniem przepisów RODO lub ustaw szczególnych;
- zmianą.
Do Twoich obowiązków należy również prowadzenie dokumentacji opisującej sposób przetwarzania danych, np. sporządzenie i aktualizowanie regulaminu przetwarzania oraz polityki prywatności. Musisz sprawować kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane, a także zapewnić, że do przetwarzania danych zostaną dopuszczone wyłącznie osoby posiadające stosownie upoważnienie. Z tym związane jest również ewidencjonowanie osób upoważnionych do przetwarzania zebranych danych.
Podmiot przetwarzający – kto to?
Jak wskazuje art. 4 pkt 8 RODO podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Przetwarzanie, o którym jest mowa w tym przepisie, należy rozumieć bardzo szeroko. W jego zakres wchodzi m.in. przechowywanie, utrwalanie, organizowanie, modyfikowanie, przeglądanie, udostępnianie, niszczenie czy usuwanie danych osobowych.
Status podmiotu przetwarzające jest niezależny w stosunku do administratora danych. W związku z tym powierzenie przetwarzania danych stanowi swoiste przekazanie władztwa nad określonymi operacjami przetwarzania danych osobowych przez administratora danych. Powinieneś przy tym pamiętać, że takie przetwarzanie danych przez podmiot trzeci zawsze będzie odbywało się w imieniu administratora danych, a co za tym idzie będziesz za to odpowiedzialny, tak jak za swoje działanie.
Przykład z życia:
W Twoim wypadku takim podmiotem przetwarzającym może być firma kurierska, której przekazujesz dokumentację księgową, wysyłając ją do klienta. Może być to także programista, który czuwa nad komputerami w Twoim biurze rachunkowym czy firma udostępniająca miejsce na serwerze, na którym przetrzymujesz dokumentację swoich klientów. Podmiotem przetwarzającym będzie również firma przeprowadzająca audyt w Twoim biurze, jak również doradca podatkowy, z którym współpracujesz.
Administrator danych RODO a podmiot przetwarzający
Wiesz już, że podmiot przetwarzający z jednej strony jest autonomiczną jednostką w kwestii przetwarzania danych, z drugiej jednak strony odpowiada on przed administratorem za dane, które zostały mu powierzone. Wynika z tego, że podmiot przetwarzający przy wykonywaniu swoich obowiązków, powinien wdrożyć takie same lub bardziej restrykcyjne środki techniczne i organizacyjne przy przetwarzaniu przekazanych danych osobowych.
Tym, co różni oba te podmioty jest także kwestia tego, kto decyduje o celach i środkach przetwarzania danych osobowych. Podmiot przetwarzający przetwarza dane na polecenie administratora i przekazane mu przez administratora, tym samym musi się ono zgadzać z celami określonymi przez tego drugiego.
Tak skonstruowane przepisy rozporządzenia unijnego każą uważać, iż ustalenie celów przetwarzania danych osobowych są domeną administratora danych. Z kolei kwestia decydowania o środkach przetwarzania będzie już należała do decyzji podmiotu przetwarzającego. To podmiot przetwarzający decyduje o rodzaju systemów zabezpieczających powierzone dane osobowe czy oprogramowania wykorzystywanego do przetwarzania tych danych.
Jak wybrać podmiot przetwarzający?
Na wstępie od razu podkreślę, iż to Ty – jako administrator – odpowiadasz za wybór podmiotu przetwarzającego. RODO daje wyłącznie wskazówki jakie kryteria obrać przy tym wyborze. Nie będziesz mógł jednak się bronić przepisami rozporządzenia w przypadku gdy wybrany przez Ciebie podmiot postąpi wbrew prawu i przez jego działanie upublicznione zostaną dane osobowe Twoich klientów.
RODO wskazuje, iż administrator może korzystać jedynie z usług takich podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych oraz posiadają wystarczającą wiedzę fachową, wiarygodność i zasoby, by przetwarzanie spełniało wymogi ochrony danych osobowych.
To nakłada na Ciebie obowiązek uprzedniego zbadania czy podmiot przetwarzający jest w stanie spełnić takie wymogi. Niezależnie jaki środek kontrolny wybierzesz, musisz być w stanie wykazać, że dokonałeś właściwego i pełnego zbadania stosowanych przez podmiot przetwarzający środków organizacyjnych i technicznych.
Umowa powierzenia – obowiązkowo
Decydując się na powierzenie danych osobowych innemu podmiotowi, a będzie tak zawsze gdy Twoje biuro rachunkowe będzie korzystało z usług firmy kurierskiej, przedsiębiorstwa audytorskiego czy każdej innej firmy outsourcingowej, masz obowiązek zawrzeć z takim podmiotem umowę o powierzenie przetwarzania danych osobowych.
Przepis art. 28 RODO nakłada na administratora obowiązek kontrolny. W końcu w przypadku wycieku danych osobowych z winy podmiotu przetwarzającego, to na Tobie spocznie odpowiedzialność za to zdarzenie na równi z przetwarzającym dane. Przed zawarciem umowy powinieneś przekazać podmiotowi trzeciemu specjalny kwestionariusz pytań dotyczących kwestii stosowania odpowiednich środków technicznych i organizacyjnych zapewniających zgodność jego działań z przepisami RODO. To powinno wystarczyć na start. Jednak już po podpisaniu umowy masz prawo do przeprowadzenia kontroli w siedzibie podmiotu przetwarzającego. Rozporządzenie nie określa jednak jak taki audyt powinien wyglądać. Kwestie te powinna zatem określać sama umowa powierzenia.